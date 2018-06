Die Malware VPNFilter, die anscheinend von russischen Hackern genutzt wurde, besteht voraussichtlich nicht nur aus 500.000 Routern. Außerdem wurde von den Talos-Forschern, einer eigenen Abteilung bei Cisco, ein weiteres Element entdeckt, das Man-in-the-Middle-Attacken ermöglicht. Dadurch kann Web-Traffic abgefangen, mitgelesen und manipuliert werden.

Zwar hat das FBI einen Server bereits übernehmen können, sensible Daten des erst kürzlich entdeckten "ssler"-Moduls werden weiterhin an die Server der Hacker übermittelt. Derzeit wird davon ausgegangen, dass die Router nicht nur Teil des Botnetzes sein sollten, sondern deren Besitzer auch selbst das Ziel der Angreifer waren. „Sie können deinen Kontostand so modifizieren, dass er normal aussieht, während sie Geld oder PGP-Schlüssel abziehen und ähnliche Dinge tun. Sie können alles manipulieren, was in das Gerät hineingeht und wieder hinauskommt“, sagt Craig Williams, einer der verantwortlichen Sicherheitsforscher bei Talos gegenüber Ars Technica.

Der vom FBI empfohlene Neustart verschafft keine Abhilfe. Die Malware bleibt am Router. Abhängig vom Gerät muss es entweder auf Werkszustand zurückgesetzt werden, oder neu gestartet direkt mit einem Firmware-Update geflasht werden. Die Talos-Forscher raten, sich direkt mit dem Hersteller in Verbindung zu setzen.

"VPNFilter ist immer noch aktiv. Es infiziert mehr Geräte als wir ursprünglich gedacht haben und seine Fähigkeiten übersteigen bei Weitem das, was wir bisher wussten. Die Menschen müssen das von ihren Netzwerken wegbekommen“, sagt Williams gegenüber Ars Technica.

>>> ArsTechnica

(bagre)